Cali­for­nia Con­su­mer Pro­tec­tion Act (CCPA): in Kraft seit 1.1.2020

Am 1. Janu­ar 2020 ist in Kali­fo­ri­en der “Cali­for­nia Con­su­mer Pro­tec­tion Act” (CCPA) in Kraft getre­ten. Der CCPA ver­langt in erster Linie Trans­pa­renz und die Erfül­lung von Betrof­fe­nen­rech­ten. Er ist nicht eine Art “Mini-DSGVO”, lehnt sich in man­chen Punk­ten aber an die DSGVO an. Der CCPA kann auf Unter­neh­men ausser­halb Kali­for­ni­ens Anwen­dung fin­den. Vgl. dazu das Fact Sheet des Office of the Attor­ney Gene­ral).

Anwen­dungs­be­reich

Der CCPA ist auf juri­sti­sche Per­so­nen ausser­halb Kali­fo­ri­ens anwend­bar, wenn das Unter­neh­men (1) für eine Daten­ver­ar­bei­tung ver­ant­wort­lich und (2) gewinn­stre­big ist, (3) in Kali­for­ni­en tätig ist und (4) einen der fol­gen­den Schwel­len­wer­te über­schrei­tet:

  • Jah­res-Brut­to­um­satz von USD 25 Mio. (an den Kon­su­men­ten­preis­in­dex anzu­pas­sen­der Schwell­wert);
  • Kauf, Erhe­bung, Ver­kauf oder Bekannt­ga­be von (nicht öffent­lich für den Bear­bei­tungs­zweck ver­füg­ba­ren) Per­so­nen­da­ten von 50’000 Kon­su­men­ten in Kali­fo­ri­en, Haus­hal­ten oder netz­werk­fä­hi­gen Gerä­ten zu kom­mer­zi­el­len Zwecken
  • 50 % des Jah­res­um­sat­zes stammt aus dem Ver­kauf von (nicht öffent­lich für den Bear­bei­tungs­zweck ver­füg­ba­ren) Per­so­nen­da­ten von Kon­su­men­ten in Kali­fo­ri­en.

In der Sache ist der CCPA anwend­bar auf “per­so­nal infor­ma­ti­on” von “con­su­mers”. Das betrifft Infor­ma­tio­nen “that iden­ti­fies, rela­tes to, descri­bes, is capa­ble of being asso­cia­ted with, or could rea­son­ab­ly be lin­ked, direct­ly or indi­rect­ly, with a par­ti­cu­lar con­su­mer or house­hold”. Dazu gehö­ren aus­drück­lich etwa

  • Iden­ti­fiers such as a real name, ali­as, postal address, uni­que per­so­nal iden­ti­fier, online iden­ti­fier Inter­net Pro­to­col address, email address, account name, social secu­ri­ty num­ber, driver’s licen­se num­ber, pass­port num­ber, or other simi­lar iden­ti­fiers”, aber auch “any other finan­cial infor­ma­ti­on, medi­cal infor­ma­ti­on, or health insuran­ce infor­ma­ti­on”
  • Inter­net or other elec­tro­nic net­work acti­vi­ty infor­ma­ti­on, inclu­ding, but not limi­ted to, brow­sing histo­ry, search histo­ry, and infor­ma­ti­on regar­ding a consumer’s inter­ac­tion with an Inter­net Web site, app­li­ca­ti­on, or adver­ti­se­ment”

Aus­ge­nom­men sind aber öffent­lich ver­füg­ba­re Daten, sofern die­se Daten nur zu Zwecken ver­wen­det wer­den, für die sie ver­öf­fent­licht wur­den.

Eben­falls aus­ge­nom­men sind u.a. Daten, die dem HIPAA (Health Insuran­ce Por­ta­bi­li­ty and Avai­la­bi­li­ty Act) unter­ste­hen.

Rege­lungs­ge­halt

In erster Linie ver­leiht der CCPA den betrof­fe­nen Per­so­nen Rech­te:

  • Das Recht, Aus­kunft über die Kate­go­rien und über die ein­zel­nen erho­be­nen Per­so­nen­da­ten zu ver­lan­gen;
  • das Recht, über die Kate­go­rien der erho­be­nen Daten und die Bear­bei­tungs­zwecke und wei­te­re Punk­te infor­miert zu wer­den, und der Anspruch, dass Daten nur zweck­kon­form bear­bei­tet wer­den;
  • des Recht, (unter bestimm­ten Vor­be­hal­ten, u.a. der betriebs­in­ter­nen zweck­kon­for­men Wei­ter­ver­wen­dung) Löschung von Per­so­nen­da­ten zu ver­lan­gen, die das Unter­neh­men vom Kon­su­men­ten erho­ben hat;
  • das Recht, einem im Daten­han­del täti­gen Unter­neh­men den Ver­kauf von Per­so­nen­da­ten zu unter­sa­gen. Sol­che Unter­neh­men müs­sen auf ihrer Web­site einen ent­spre­chen­den Link “Do Not Sell My Per­so­nal Infor­ma­ti­on” anbie­ten;
  • das Recht, im Zusam­men­hang mit einer Aus­übung von Betrof­fe­nen­rech­ten nicht dis­kri­mi­niert zu wer­den (z.B. durch Ver­wei­ge­rung eines Ver­trags­schlus­ses oder durch unge­recht­fer­tigt unter­schied­li­che Prei­se). Zuläs­sig blei­ben aber finan­zi­el­le Anrei­ze für die Offen­le­gung von Per­so­nen­da­ten und daten­ge­stütz­te Geschäfts­mo­del­le mit ent­spre­chen­dem Pri­cing;
  • Das Recht, bei Sicher­heits­ver­let­zun­gen auf­grund unzu­rei­chen­der Sicher­heits­mass­nah­men u.a. Scha­den­er­satz von min­de­stens USD 100 zu ver­lan­gen.

Ver­hält­nis zur DSGVO

Die Ein­hal­tung der DSGVO bedeu­tet nicht, dass das betref­fen­de Unter­neh­men auch den CCPA ein­hält. Der CCPA ent­hält eini­ge wei­ter­ge­hen­de Pflich­ten.